#ParisWeb Nos objets connectés sont bavards : mais de quoi parlent-ils ?

Standard

Prenez vos places !

Le but sera de découvrir à quel point certaines applications mobiles peuvent être bavardes et de tenter de déterminer quelles sont les informations transmises à des serveurs tiers.

Pour ce faire, nous utiliserons un smartphone et un PiRogue. Le PiRogue est un petit équipement basé sur un Raspberry Pi et une personnalisation de la distribution Kali Linux, dont la fonction est de créer un point d’accès wi-fi ouvert et dédié à l’interception de trafic.

Pour plus d’informations : https://github.com/U039b/PiRogue

L’atelier sera co-animé avec Esther Onfroy, co-créatrice du projet.

Prenez vos places !

#ParisWeb Le charme du quotidien, nécessaire, ordinaire, routinier

Standard

Prenez vos places !

Aujourd’hui, pour une majorité de personnes dans le monde, avoir une connexion à Internet et s’en servir est comme boire de l’eau : quotidien, nécessaire, ordinaire, routinier.

Rattrapant un retard au démarrage, de plus en plus d’institutions publiques de par le monde développent et imposent des services numériques.

Quant au secteur privé, il est le terreau propice de l’innovation en série : des startups toujours plus nombreuses, des financements toujours plus élevés… et des produits et services toujours mal sécurisés. Ces derniers sont cependant ce que nous utilisons, ils sont quotidiens, nécessaires, ordinaires, routiniers. Cette même « consommation digitale » renforce le siphonnage de données à caractère personnel et nous expose à un bouquet d’algorithmes plus obscurs les uns que les autres.

Mais il est contreproductif de se vautrer dans un fatalisme. Nous parlerons donc sécurité des IoT et leurs applications, la gestion de ces problématiques par les fabricants et éditeurs et l’impact sur nos vies connectées dont l’aspect « privé » doit être repensé. Nous créons la réalité numérique, il nous revient d’en saisir les enjeux et de les implémenter dans notre productions. La sécurité, le respect de l’intimité et l’innovation pérenne sont ce qui doit devenir quotidien, nécessaire, ordinaire, routinier.

Prenez vos places !

A year in Io(M)T security

Standard

A year ago, I embarked on the funky journey to gain insights into IoT security. I am particularly interested in medical devices, that is an item that’s connected to the Internet AND can gather some sort of health data.

I started off with connected sex toys—it’s fun to tear them down, then tell others about it. Beyond the fun, though, is the actual understanding of what is at stake. And, in all honesty, your fridge, your insulin pump and your pacemaker all share the same challenges: they need improved security so that we are not at risk.

Since the first dildo I investigated, my analysis capabilities have evolved. This talk will address the diverse range of challenges I have had: obtaining the objects (the least complex one… but not the cheapest option, still!), producing reproducible data, collecting meaningful logs, having the companies building the IoT fix their flaws, etc. Thankfully, I will also discuss the solutions I identified, all of which involve FLOSS and (in part) open hardware.

Entry’s free, but sign up swiftly as places are limited!

Nuit du Hack #ndh2018

Standard

Lors de cette édition, j’assure une conférence et un workshop :

  • conférence “À l’Est, plein de nouveau” sur la gouvernance et l’évolution d’Internet en Russie ; le 30 juin 2018, 15h30-16h15.
  • atelier technique sécurité des données issues de voitures autonomes ; le 30 juin 2018, 20-22h.

Entrée payante (les billets ont déjà été vendus…)

Commuting is taking a toll on ya? Podcasts are the solution

Here is the ultimate podcast list for infosec and data protection. Enjoy!
Standard

The other day, I was participating in an after-work panel centring on the professional opportunities cybersecurity at large presents. The discussion primarily focused on drawing in women to the field as a way to diversify and enrich the talent pool. Yet, few of us insisted on focusing on diversity, be it gender, social, etc.

Amongst the main questions was: how do I get into the field? Trying to provide sound advice on that made me realise we have a handful of resources to building up new and/or extra skills within the realm. However, starting off if you are, say, a developer or a legal person may turn bumpy and challenging.

Get to know the industry which interests you: infosec

Often, we hear that technical knowledge is not required for a career in infosec when one has other competencies

IMHO, such a standpoint is debatable. Indeed, you do not — and cannot — learn and know and meaningfully mobilise any technical bit out there. And nobody will ever ask of you to be the a complete technical authoritative encyclopaedia. Yet, I hold that should you ignore the very makeup and fundamentals of the topic, you will be imprecise at best when providing consultancy services. This is true regardless of your non-technical skills.

Podcasts to the rescue

Of course, learning new, complicated, technical stuff demands time, effort, method and rigour. But it does not need to be boring or tedious.

That is why I decided to put up a list of resources of my choosing. The criteria are rather basic: content needs to be diverse, engaging, accessible. I curated the below list of podcasts, in English and French. They are fun enough to get you to learn things, be it help you out in a self-teaching strive, be it make your commute to work more enjoyable.

And naturally, should you have suggestions, let me know: contact details are over here (scroll). Thanks, and enjoy!

Podcasts in English

Podcasts in French

Comment ne pas écrire un guide de cybersécurité pour les dirigeants

Standard

J’ai lu le Guide de cybersécurité pour les dirigeants pour pas que vous ayez à le faire. Ou comment perdre une bonne occasion de sensibiliser…

Challenges et Eyrolles publient, le 23 février, un guide intitulé “L’essentiel de la sécurité numérique pour les dirigeants”. L’ouvrage est présenté comme “[l]e mode d’emploi facile d’accès pour être à jour et mieux éclairé face au nouveau risque numérique”. L’idée est excellente : il faut sensibiliser toujours davantage aux risques numériques, les personnes qui ont en charge la prise de décision. Ces derniers sont nombreux et de nature très variable. C’est encourageant de voir qu’enfin la gestion des risques rencontre le volet numérique.

Enfin, c’est ce que j’ai pensé… jusqu’au moment où j’ai commencé à lire. Déjà, pour l’obtenir, c’était un peu délicat : la personne qui me l’a envoyé en première disait que ça m’épargne la création d’un compte pour le télécharger chez Eyrolles où la navigation n’est pas en HTTPS, où il n’y a pas de TLS pour SMTP et où les machines ne sont pas à l’heure. Que doit-on conclure quant à l’importance de la sécurité de ses visiteurs dans ces conditions ? (C’est une question rhétorique.)

Continue reading